L’autorité irlandaise de protection des données a condamné Meta à une amende de plusieurs millions
Après que des inconnus ont publié les données personnelles de jusqu’à 533 millions d’utilisatrices et utilisateurs, la société mère Meta est maintenant obligée de payer une amende de 265 millions d’euros. C’est ce qu’a annoncé l’autorité nationale de protection des données, la DPC, lundi. Les amendes prononcées contre Meta en Irlande au cours des 14 derniers mois se montent désormais à 910 millions d’euros.
Comme les défenseurs irlandais des données personnelles l’ont communiqué, une violation du Règlement européen sur la protection des données a été constatée. Les autorités de protection des données des autres membres de l’UE ont travaillé en collaboration avec l’autorité irlandaise et approuvé sa décision.
Cette décision a été motivée par un incident qui s’est produit l’année dernière : en avril 2021, des inconnus ont publié sur un forum internet des données sensibles appartenant à près de 533 millions d’utilisatrices et utilisateurs de 106 pays. Il s’agissait de leurs adresses électroniques, numéros de téléphone, dates de naissance, sexes, statuts amoureux et adresses de résidence.
Les données ont été extraites automatiquement
À l’époque, les médias avaient rapporté que 6,05 millions de données étaient concernés en Allemagne, 1,25 million en Autriche et 1,59 million en Suisse.
Le jeu de données publié contenait également les numéros de téléphone de politiciens allemands et d’employés des autorités de sécurité allemandes. Les experts en informatique du Bundestag avaient alors averti les députés de la publication de leurs données.
Facebook avait déjà expliqué en avril 2021 que les données avaient été extraites par scraping. Le scraping est une technique automatisée extrayant et collectant des données accessibles publiquement, sans s’introduire dans les systèmes informatiques. Selon Facebook, la fonction correspondante aurait été modifiée dès 2019 pour empêcher que d’autres données ne soient collectées.
Risque d’utilisation frauduleuse des données
Facebook avait déjà dû admettre dès 2018 que probablement, toutes les données accessibles librement des quelque deux milliards d’utilisateurs de l’époque avaient été collectées systématiquement par extraction automatique. De plus en 2019, les numéros de téléphone de plus de 419 millions d’utilisatrices et utilisateurs étaient apparus sur la Toile. À l’époque déjà, des inconnus avaient extrait les données par scraping. Outre le numéro de téléphone, les fuites concernaient également en partie le pays de résidence des internautes.
Au moyen de l’adresse électronique et du numéro de téléphone, il est possible de contacter des personnes sans leur accord, par exemple pour des tentatives d’escroquerie ou de la publicité indésirable. Si, de plus, d’autres informations personnelles telles que les dates de naissance et adresses circulent, le risque d’usurpation d’identité augmente encore.
L’autorité irlandaise de protection des données avait annoncé en avril 2021 qu’elle examinait l’incident. Parmi les victimes se trouvaient de nombreux internautes européens. À l’époque, Facebook n’avait pas pris l’initiative de contacter les autorités.
Le groupe Meta a déclaré qu’il examinait la décision actuelle. Des criminels auraient extrait par scraping avant septembre 2019 les données accessibles publiquement. Meta insiste sur le fait qu’il n’y a pas eu d’attaque réussie sur les systèmes de Facebook.
L’autorité irlandaise de protection des données est responsable du dossier Meta étant donné que le siège européen de la société se trouve en Irlande. On reproche régulièrement à cette autorité de traiter trop lentement les enfreintes à la protection des données commises par les géants technologiques. C’est désormais la quatrième fois depuis septembre 2021 que l’autorité irlandaise condamne Meta à une amende élevée. WhatsApp, la filiale de Meta avait dû alors payer 225 millions d’euros pour avoir enfreint les règles de protection des données personnelles.
S’y était ajoutée en mars 2022 une autre amende de 17 millions d’euros à l’encontre de la société mère pour non-respect de la protection des données. En septembre, la DPC a condamné Instagram à une amende de 405 millions d’euros pour graves enfreintes aux règles de protection des données des enfants.
Meta a fait appel pour contester les décisions prises à l’encontre d’Instagram et de WhatsApp. Les juges doivent maintenant se prononcer sur ces affaires. (dpa /js)